2022云計(jì)算頂級(jí)威脅

云計(jì)算頂級(jí)威脅2022目錄威脅1:身、憑，訪和密管理特權(quán)號(hào)管的不足 9威脅2:不全的口API 14威脅3:配不當(dāng)變更制的足 17威脅4:缺云安架構(gòu)戰(zhàn)略 21威脅5:不全的件開發(fā) 24威脅6:不全第方資源 27威脅7:系漏洞 31威脅8:云算數(shù)的意泄露 35威脅9:無務(wù)器容器工作載配不當(dāng)和用 38威脅10:有織的罪、客和APT攻擊 42威脅11:云儲(chǔ)數(shù)泄露 455PAGEPAGE6概要7002022最新報(bào)告按調(diào)查結(jié)果重要程度著重介紹了前11類威脅（括號(hào)中的是2019年調(diào)查的排名）：(4)API(7)(2)(3)(8)APT(11)觀察和依據(jù)（IoT）（OT）目標(biāo)讀者調(diào)查202211CSA2022（2019年EE111526并要求成員們說明每個(gè)問題對(duì)其組織的重要性以及他們對(duì)自己熟悉的組織的了解。191910110711調(diào)查結(jié)果 調(diào)查平均 威脅名排名 得分17.72992727.592701API37.42481847.40875957.27591267.21449377.14306687.11465997.097810107.088534攻擊117.08563111（SaaS、PaaSIaaS或SPI）（CBK）v4.0CSASTRIDEPAGEPAGE9威脅1:不充分的身份、憑據(jù)，訪問和密鑰管理、特權(quán)賬號(hào)管理威脅1:不充分的身份、憑據(jù)，訪問和密鑰管理、特權(quán)賬號(hào)管理軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任（IAM）IAM系特權(quán)賬戶必須以準(zhǔn)確、即時(shí)的方式凍結(jié)，避免人員在離職或角色更換后進(jìn)入。這將減少數(shù)據(jù)泄漏或受損的可能性。除了取消某些特權(quán)賬戶外，賬號(hào)角色和職責(zé)必須符合對(duì)信息“按需所知”的程度。享有特權(quán)的人員越多，越會(huì)增加數(shù)據(jù)管理不善或賬戶亂用的可能性。業(yè)務(wù)影響身份、憑據(jù)，訪問和密鑰管理、特權(quán)賬號(hào)管理不足的負(fù)面影響可能包括：）PAGEPAGE10關(guān)鍵信息正確的IAM、憑據(jù)和密鑰管理措施可能包括：CIEM[1]案例(2021)Twitch、CosmologyKozmetik、PeopleGIS、PremierReindeer和Twillo[2](202110月)AWSS3AWS和CDN[3](20191月7) CapitalOne銀內(nèi)部規(guī)使AWS云件，中借動(dòng)態(tài)IAM角是關(guān)的違行為雖S3存桶不其他多漏那樣露在聯(lián)網(wǎng)，但EC2實(shí)有過IAM角可能罪魁首。[4]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域2:治理與企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域4:合規(guī)和審計(jì)管理領(lǐng)域5:信息治理領(lǐng)域6:管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域11:數(shù)據(jù)安全和加密領(lǐng)域12:身份、授權(quán)和訪問管理領(lǐng)域14:相關(guān)技術(shù)\hCSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AISAIS-01:應(yīng)用程序和接口安全策略和規(guī)程AIS-02:應(yīng)用程序安全基線需求AIS-03:應(yīng)用程序安全指標(biāo)CCC變更控制和配置管理CCCCCC-07:基線偏離檢測CCC-08:例外管理DSP數(shù)據(jù)安全與隱私生命周期管理DSPDSP-03:數(shù)據(jù)清單DSP-04DSP-07DSP-17:敏感數(shù)據(jù)保護(hù)DSP-19:數(shù)據(jù)位置GRC治理、風(fēng)險(xiǎn)管理和合規(guī)GRCGRC-02:風(fēng)險(xiǎn)管理計(jì)劃GRC-05:信息安全計(jì)劃GRC-06:治理責(zé)任模式l

身份與訪問管理IAMIAM-01IAMIAM-05IAM-08:用戶訪問評(píng)審LOG日志記錄和監(jiān)控LOGLOG-10:加密監(jiān)控與報(bào)告LVS基礎(chǔ)設(shè)施與虛擬化安全LVSIVS-03:網(wǎng)絡(luò)層安全TVM威脅和漏洞管理TVMTVM-08:漏洞優(yōu)先級(jí)Stride威脅分析 引用鏈接身份欺騙\hCIEM\hHome\h-\hCIEM\h-\hHOME\h()DataBreachestof2021\h\hSEGAEuropeThoroughlyScrutinizesitsCloudSecurity\h\hnBlog\h|\hLessonsLearnedfromSEGAEurope’srecent\hsecurity\h\h\h\h\h\h\h\h\h\h\hliclyOpen\h|\hEyerysTheCapitalOne-incidenthighlightstherolesandresponsibilitiesofcloudcustomers,providers\h/capital-one-aws-incident-highlights-\hroles-a 11nd-responsibilities-cloud-customers-providers篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE12威脅2:不安全的接口和API軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)基礎(chǔ)設(shè)施應(yīng)用程序信息架構(gòu)共同安全責(zé)任APIAPI1威脅2:不安全的接口和API軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)基礎(chǔ)設(shè)施應(yīng)用程序信息架構(gòu)共同安全責(zé)任（）API的使APIAPI開發(fā)APIAPIAkamai2021300API53%APIAPIAPIAPI、APIAPIAPIAPI業(yè)務(wù)影響不安全的接口或API的風(fēng)險(xiǎn)因API的使用和相關(guān)數(shù)據(jù)以及檢測和緩解漏洞的速度而異。最常見的業(yè)務(wù)影響是API未保護(hù)敏感或私人數(shù)據(jù)而造成意外暴露。PAGEPAGE13關(guān)鍵信息以下是一些關(guān)鍵信息：APIAPI的增API案例最近的一些案例包括：(20214月28)[2](20215月5日)PelotonAPIPIIID[3](20214月22)（JohnDeere）100020%API[4]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域4:合規(guī)和審計(jì)管理領(lǐng)域5:信息治理領(lǐng)域6:管理平面和業(yè)務(wù)連續(xù)性7:8:領(lǐng)域10:應(yīng)用安全領(lǐng)域11:數(shù)據(jù)安全和加密領(lǐng)域12:身份、授權(quán)和訪問管理\hCSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AISAIS-01AIS-04CEK密碼學(xué)、加密與密鑰管理CEKCEK-03:數(shù)據(jù)加密CEK-04:加密算法CCC變更控制和配置管理CCCCCC-01CCC-02CCC-05

數(shù)據(jù)安全與隱私生命周期管理DSPDSP-01:安全與隱私的策略和規(guī)程DSP-03:數(shù)據(jù)清單DSPDSP-04:數(shù)據(jù)分級(jí)分類DSP-05:數(shù)據(jù)流文檔IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-03:網(wǎng)絡(luò)層安全I(xiàn)VS-04:操作系統(tǒng)加固與基線控制IVS-09:網(wǎng)絡(luò)防御Stride威脅分析 引用鏈接身份欺騙\h4-48f6-\h854a-47d96c4a75feExperianAPIExposedCreditScoresofMostAmericans:\h\hcores-of-most-americans/LeakyAPISpilledRiders’PrivateData:\hLeakyJohnDeereAPI’s:SeriousFoodSupplyChainVulnerabilities:\hhttps://sick.codes/leaky-john-deere-apis-serious-foo\h篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE16威脅3:配置不當(dāng)和變更控制的不足軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任/12威脅3:配置不當(dāng)和變更控制的不足軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任（IT）業(yè)務(wù)影響根據(jù)錯(cuò)誤配置/不當(dāng)變更的性質(zhì)以及檢測和緩解的速度，錯(cuò)誤配置/不當(dāng)變更控制的影響可能會(huì)很嚴(yán)重。云審計(jì)知識(shí)證書學(xué)習(xí)指南,中的影響分類如下：--PAGE關(guān)鍵信息以下是一些關(guān)鍵信息：案例最近的一些案例包括：(20223月9)ServiceNowACL（配ServiceNow70%2021年10月4日FacebookFacebookInstagramWhatsapp和Oculus[2](20211月7)AzureBlob（）100[3]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域4:合規(guī)和審計(jì)管理領(lǐng)域5:信息治理領(lǐng)域6:管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域7:基礎(chǔ)設(shè)施安全PAGEPAGE18領(lǐng)域8:虛擬化和容器領(lǐng)域10:應(yīng)用安全領(lǐng)域11:數(shù)據(jù)安全和加密領(lǐng)域12:身份、授權(quán)和訪問管理\hCSA云控制矩陣v4.0A&A審計(jì)與保障A&AA&A-02:獨(dú)立評(píng)估A&A-03:基于風(fēng)險(xiǎn)的規(guī)劃評(píng)估AIS應(yīng)用程序和接口安全AISAIS-02:應(yīng)用程序安全基線需求AIS-04:應(yīng)用程序安全設(shè)計(jì)和安全開發(fā)AIS-05:自動(dòng)化應(yīng)用程序安全測試BCR業(yè)務(wù)連續(xù)性管理和運(yùn)營韌性BCRBCR-02:風(fēng)險(xiǎn)評(píng)估和影響分析BCR-03:業(yè)務(wù)連續(xù)性策略BCR-08:備份CCC變更控制和配置管理CCCCCC-02CCC-04CCC-09CEK密碼學(xué)、加密與密鑰管理CEKCEK-03:數(shù)據(jù)加密CEK-05:加密變更管理DSPDSPDSP-07:設(shè)計(jì)和默認(rèn)數(shù)據(jù)保護(hù)DSP-08:設(shè)計(jì)和默認(rèn)數(shù)據(jù)隱私DSP-17:敏感數(shù)據(jù)保護(hù)

治理、風(fēng)險(xiǎn)管理和合規(guī)CRCGRC-02:風(fēng)險(xiǎn)管理計(jì)劃GRC-05:信息安全計(jì)劃CRCHRS人力資源HRSHRS-09IAM身份與訪問管理IAMIAM-03:身份清單IAM-08:用戶訪問評(píng)審IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-02:變更檢測IVS-03:網(wǎng)絡(luò)層安全I(xiàn)VS-04:操作系統(tǒng)加固與基線控制LOG日志記錄和監(jiān)控LOGLOG-03:安全監(jiān)控與告警LOG-05:審計(jì)日志監(jiān)控與響應(yīng)LOG-12:訪問控制日志SEF安全事件管理，電子發(fā)現(xiàn)及云舉證SEFTVMSEF-03事件響應(yīng)計(jì)劃SEF-04事件響應(yīng)測試SEF-06事態(tài)鑒別分類流程TVM威脅和漏洞管理TVM-07漏洞識(shí)別TVM-08漏洞優(yōu)先級(jí)TVM-09漏洞管理報(bào)告Stride威脅分析 引用鏈接身份欺騙MajorSecurityMisconfigurationImpactingServiceNowInstancesDiscovered\h/press_release/2022-major-security-\hmisconfiguration-impacting-servicenow-and-other-saas-\hinstances-discovered/MajorSecurityMisconfigurationImpactingServiceNowandOtherSaaSInstancesDiscovered\h/resources/aolabs/appomni-discovers-\hsecurity-misconfiguration-impacting-servicenow/ServiceNowSharedSecurityModelandAccessControlInformation\h/kb?id=kb_article_\hview&sysparm_article=KB1095978ServiceNowreleasesguidanceonAccessControlListmisconfigurations\h/article/servicenow-releases-\hguidance-on-a\hce/UnderstandingHowFacebookDisappearedfromtheInternet\h/october-2021-facebook-outage/UpdateabouttheOctober4thoutage\h\hMoredetailsabouttheOctober4outage\h\hdetails/WhyFacebook,Instagram,andWhatsAppAllWentDownToday\h/story/why-facebook-instagram-\hwhatsapp-went-down-outage/Report:SoftwareCompaniesExposedtoHackinginMajorData\h\hcs-leak/Report:HotelReservationPlatformLeavesMillionsofPeopleExposedinMassiveDataBreach\h\hLeakyS3bucketonceagainatcentreofdatabreach\h\h3-bucket-once-again-at-centre-of-data-breach\h\hrport-employee-records-3tb-in-data/\h\hlexbooker-bucket-after-december-data-breach/篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE19威脅4:缺乏云安全架構(gòu)和戰(zhàn)略軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任1,威脅4:缺乏云安全架構(gòu)和戰(zhàn)略軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任變革的快節(jié)奏和普遍化的、去中心化的、自助化的云基礎(chǔ)設(shè)施管理方法阻礙了人們的技術(shù)和業(yè)務(wù)因素考量以及有意識(shí)的設(shè)計(jì)。然而，云要實(shí)現(xiàn)成功和安全，就不能忽視安全考慮和風(fēng)險(xiǎn)。行業(yè)違規(guī)案例表明，缺乏此類規(guī)劃可能導(dǎo)致云環(huán)境和應(yīng)用業(yè)務(wù)影響/關(guān)鍵信息以下是一些關(guān)鍵信息：1（”“”2CSP（）。3身份和訪問管理，作為一個(gè)域，而不是一個(gè)特定的云服務(wù)。PAGEPAGE20案例最近的一些案例包括：(20211月)BonobosBonobos（70GB的SQL700）[1]2](20217月2日)KaseyaKaseya（VSA）（MSP）SaaS[3]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域1:云計(jì)算概念和架構(gòu)領(lǐng)域2:治理與企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域6:管理平面和業(yè)務(wù)連續(xù)性\hCSA云控制矩陣v4.0A&A審計(jì)與保障A&AAISA&A-03基于風(fēng)險(xiǎn)的規(guī)劃評(píng)估A&A-04需求合規(guī)AIS應(yīng)用程序和接口安全AIS-04應(yīng)用程序安全設(shè)計(jì)和安全開發(fā)BCR業(yè)務(wù)連續(xù)性管理和運(yùn)營韌性BCRBCR-02風(fēng)險(xiǎn)評(píng)估和影響分析BCR-03業(yè)務(wù)連續(xù)性策略BCR-04業(yè)務(wù)連續(xù)性規(guī)劃BCR-08備份CEK密碼學(xué)、加密與密鑰管理CEKCEK-08云服務(wù)客戶密鑰管理能力CEK-07加密風(fēng)險(xiǎn)管理DCS數(shù)據(jù)中心安全DCSCS-01場外設(shè)備處置的策略和規(guī)程DSP數(shù)據(jù)安全與隱私生命周期管理DSPGRC-02:風(fēng)險(xiǎn)管理計(jì)劃GRC-05:信息安全計(jì)劃

治理、風(fēng)險(xiǎn)管理和合規(guī)GRCGRC-08特殊利益團(tuán)體GRC-02風(fēng)險(xiǎn)管理計(jì)劃GRCIAM身份與訪問管理IAMIAM-04職責(zé)分離IAM-05最小權(quán)限IAM-09特權(quán)訪問角色的隔離IAM-01身份與訪問管理的策略與規(guī)程IAM-06用戶訪問授權(quán)IPY互操作性與可移植性IPYIPY-01互操作性與可移植性的策略與規(guī)程IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-03IVS-05IVS-08STA供應(yīng)鏈管理，透明度和問責(zé)制STASTA-01共享安全責(zé)任模型的策略與規(guī)程STA-08供應(yīng)鏈風(fēng)險(xiǎn)管理Stride威脅分析 引用鏈接身份欺騙IncidentOverview&Details\hIndependenceDay:REvilusessupplychainexploittoattackhundredsofbusinesses\h/en-us/2021/07/04/independence-\hday-revil-uses-supply-chain-exploit-to-attack-hundreds-of-\hbusinesses/DatabreachatBonoboshitsupto7million:Whattodo\hh-7-\hmillion篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE22威脅5:不安全的軟件開發(fā)軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)基礎(chǔ)設(shè)施威脅5:不安全的軟件開發(fā)軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)基礎(chǔ)設(shè)施應(yīng)用程序信息架構(gòu)客戶共同安全責(zé)任采用“云優(yōu)先”的戰(zhàn)略態(tài)勢，可以讓實(shí)體將維護(hù)和安全問題轉(zhuǎn)移給云服務(wù)供應(yīng)商（CSP）。委托CSP管理基礎(chǔ)設(shè)施和/或平臺(tái)層避免了開發(fā)人員浪費(fèi)時(shí)間做無用功。提供密鑰存儲(chǔ)/管理和安全持續(xù)集成/持續(xù)部署（CI/CD）的服務(wù)允許開發(fā)人員將重點(diǎn)放在業(yè)務(wù)邏輯上。CSP將提供身份和訪問管理（IAM）特性，為開發(fā)者提供審查工具和正確實(shí)施指導(dǎo)。讓公司無需自己構(gòu)建服務(wù)，從而釋放了資源，可投資于更具影響力的業(yè)務(wù)優(yōu)先項(xiàng)目。CSP的KubernetesCSPWeb/[2]業(yè)務(wù)影響不安全的軟件開發(fā)的部分業(yè)務(wù)影響包括：PAGEPAGE23關(guān)鍵信息以下是一些關(guān)鍵信息：CSP案例最近的一些案例包括：(2021年12月9日Log4Shelllog4jRCE[3]。(2021年15) 眾皆知MicrosoftExchange，經(jīng)發(fā)的一列漏洞，如（ProxyOracle、ProxyShell），為遠(yuǎn)程代碼執(zhí)行和憑據(jù)盜竊提供了多種途徑[4]。(2021年913日)iOS的Pegasus[5]。\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域1:云計(jì)算概念和架構(gòu)領(lǐng)域10:應(yīng)用安全領(lǐng)域12:身份、授權(quán)和訪問管理領(lǐng)域13:安全即服務(wù)\hCSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AISAIS-02:應(yīng)用程序安全基線需求AIS-04AIS-05CCC變更控制和配置管理CCCCCC-02:質(zhì)量測試

威脅和漏洞管理TVMTVM-04:檢測更新TVMIAM身份與訪問管理IAMIAM-01:身份與訪問管理的策略與規(guī)程IAM-04:職責(zé)分離IAM-05:最小權(quán)限IAM-14:強(qiáng)鑒別Stride威脅分析 引用鏈接身份欺騙Ialwayscallthemgluebugs,IthinkIgotthatfromyou!\hAnExplorationofJSONInteroperabilityVulnerabilities\h\hLog4Shell:RCE0-dayexploitfoundinlog4j2,apopularJavaloggingpackage\hhttps://www.lunasec.io/docs/blog/log4j-zero-\hday/ANewAttackSurfaceonMSExchangePart1-ProxyLogon!\h\hn-ms-exchange-part-1.htmlAdeepdiveintoanNSOzero-clickiMessageexploit:RemoteCodeExecution篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE25威脅6:不安全的第三方資源軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序威脅6:不安全的第三方資源軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任因?yàn)橛械漠a(chǎn)品或服務(wù)可能集合了他們使用的所有其他產(chǎn)品和服務(wù)，所以漏洞可以從供應(yīng)鏈中的任何一點(diǎn)開始，并從“只”SaaS業(yè)務(wù)影響（11）。關(guān)鍵信息以下是一些關(guān)鍵信息：PAGEPAGE28SaaS案例最近的一些案例包括：(2020年12月日到20214月6日SolarwindsSolarwinds[1]2](2021年12月Log4shellJavaLog4j年11[3][4](2019年5月到20218)從2019年5月到20218（PII）330萬[5][6]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域1:云計(jì)算概念和架構(gòu)領(lǐng)域2:治理與企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域7:基礎(chǔ)設(shè)施安全領(lǐng)域10:應(yīng)用安全領(lǐng)域12:身份、授權(quán)和訪問管理\hCSA云控制矩陣v4.0BCR業(yè)務(wù)連續(xù)性管理和運(yùn)營韌性BCRBCR-01:業(yè)務(wù)連續(xù)性管理策略和規(guī)程BCR-02:風(fēng)險(xiǎn)評(píng)估和影響分析BCR-03:業(yè)務(wù)連續(xù)性策略CCC變更控制和配置管理CCCCCC-02:質(zhì)量測試CCC-04:未經(jīng)授權(quán)的變更保護(hù)DCS數(shù)據(jù)中心安全DCSDCS-05:資產(chǎn)分級(jí)分類DCS-06:資產(chǎn)登記與跟蹤DCS-07:受控接入點(diǎn)DSP數(shù)據(jù)安全與隱私生命周期管理DSPDSP-03:數(shù)據(jù)清單DSP-05:數(shù)據(jù)流文檔IAMDSP-06:數(shù)據(jù)所有權(quán)和管理權(quán)DSP-08:設(shè)計(jì)和默認(rèn)數(shù)據(jù)隱私DSP-10: 敏感數(shù)據(jù)傳輸IAM身份與訪問管理IAM-05:最小權(quán)限IAM-10:特權(quán)訪問角色的管理IAM-11:云服務(wù)客戶對(duì)特權(quán)訪問角色的批準(zhǔn)IAM-14:強(qiáng)鑒別

互操作性與可移植性IPYIPY-01:互操作性與可移植性的策略與規(guī)程IPY-02:應(yīng)用程序接口可用性IPYIPY-03:互操作性與可移植性管理的安全保護(hù)IPY-04:數(shù)據(jù)可移植性的合同義務(wù)SEF安全事件管理，電子發(fā)現(xiàn)及云舉證SEFSEF-01:安全事件管理的策略與規(guī)程SEF-03:事件響應(yīng)計(jì)劃STA供應(yīng)鏈管理，透明度和問責(zé)制STASTA-01:共享安全責(zé)任模型的策略與規(guī)程STA-02:共享安全責(zé)任模型供應(yīng)鏈STA-03:共享安全責(zé)任模型指南STA-04:共享安全責(zé)任模型控制所有權(quán)STA-05:共享安全責(zé)任模型文檔評(píng)審STA-06STA-07STA-09STA-10STA-11:內(nèi)部合規(guī)評(píng)測STA-12:供應(yīng)鏈服務(wù)協(xié)議合規(guī)STA-13:供應(yīng)鏈治理評(píng)審STA-14:供應(yīng)鏈數(shù)據(jù)安全評(píng)估Stride威脅分析 引用鏈接身份欺騙1.2.3.Solarwindsthesupplychainhack\h\h篡改數(shù)據(jù)-supply-chain-attack/UsingMicrosoftfortheSolarwindshack\h\hFLog4Jhack\h/inside-the-log4j2-vulnerability-抵賴信息泄露拒絕服務(wù)4.5.6.\hcve-2021-44228/Morethan1.2mattacksusinglog4j\h\h權(quán)限提升1VolkswagenandAudicustomer’sdataleakage\h/news/security/audi-\hvolkswagen-data-breach-affects-33-million-customers/Twothirdofbreachesaresupplychainattacks\h/articles/2020/7/2/\hhackers-putting-global-supply-chain-at-riskPAGEPAGE29系統(tǒng)漏洞威脅7:軟件即服務(wù)系統(tǒng)漏洞威脅7:軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任主要有以下4類系統(tǒng)漏洞：-JavaLog4j業(yè)務(wù)影響IBM202114%20%15%。PAGEPAGE30（）29%（124），通知占6%（27），事后分27%（114）38%（159）2k101k5000萬至65004.01關(guān)鍵信息以下是一些關(guān)鍵信息：IAM案例最近的一些案例包括：(202112月9Log4Shell（CVE-2021-45046）JavaLog4j2.0beta9至2.14.1JavaCISAFBINSALog4Shell[1](20218月)WizAzureAzure的CosmosDB[2](20219月)ActiveDirectoryFederation又名CozyBear和NOBELIUM）[2](2021)Ivanti的《202120202332021的28829%[3]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域7:基礎(chǔ)設(shè)施安全領(lǐng)域10:應(yīng)用安全領(lǐng)域11:數(shù)據(jù)安全和加密領(lǐng)域12:身份、授權(quán)和訪問管理\hCSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AISAIS-01AIS-02AIS-06:自動(dòng)化應(yīng)用程序安全部署CEK密碼學(xué)、加密與密鑰管理CEKCEK-03:數(shù)據(jù)加密CEK-04:加密算法IAM身份與訪問管理IAMIAM-02:強(qiáng)密碼的策略與規(guī)程IAM-14:強(qiáng)鑒別IAM-15:密碼管理IAM-16:授權(quán)機(jī)制

基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-04:操作系統(tǒng)加固與基線控制IVSTVM威脅和漏洞管理TVMTVM-01TVM-04:檢測更新TVM-05:外部庫漏洞TVM-06:滲透測試TVM-07:漏洞識(shí)別TVM-08:漏洞優(yōu)先級(jí)TVM-09:漏洞管理報(bào)告Stride威脅分析 引用鏈接身份欺騙Log4Shell0-dayVulnerability:AllNeedtoKnow\h/blog/log4shell-0-day-vulnerability-all-you-need-to-know/Microsoft’sverybadyearforsecurity:Atimeline\hyear-for-security-a-timeline.htmlRansomwareSpotlightYearEnd2021Report(Ivanti)\hear-end-2021-report附加鏈接：2021marksanotherrecordyearforsecurityvulnerabilities\h\h-year-for-security-vulnerabilities/CostofDataBreachReport(IBM)\hCybersecurityvulnerabilitiesandtheirbusinessimpact\h\hurity-vulnerabilities-and-their-business-impact\h/uscert/ncas/alerts/aa21-356aTheInternetisonFire\h/story/log4j-flaw-hacking-\hinternet/Ransomwareattacksareincreasinglyexploitingsecurityvulnerabilties\h/article/ransomware-attacks-\hare-increasingly-exploiting-security-vulnerabilities/RoutinelyExploitedVulnerabilities\hWhatarethedifferenttypesofvulnerabilities?\h篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE33威脅8:云計(jì)算數(shù)據(jù)的意外泄露軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型威脅8:云計(jì)算數(shù)據(jù)的意外泄露軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)基礎(chǔ)設(shè)施應(yīng)用程序信息架構(gòu)客戶共同安全責(zé)任55%[1]Elasticsearch[2]業(yè)務(wù)影響云的易用性，特別是可以靈活設(shè)置托管數(shù)據(jù)庫和存儲(chǔ)對(duì)象的速度，使其非常受歡迎。424關(guān)鍵信息為了避免無意的數(shù)據(jù)泄露，建議云客戶可以做到以下幾點(diǎn)：查看PaaSPAGEPAGE34、KubernetesIAM案例最近的一些案例包括：2021年1月VIPGames23M62300ID[4]。2021年4月Reverb5.6MElasticsearch560[5]。2021年9月TheTelegraph10TB數(shù)據(jù)的10TB[6]。2022年1月Securita1MAWS3TB[7]。2022年2月FlexBooker19M數(shù)據(jù)——12FlexBookerbucket。[8]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域5:信息治理領(lǐng)域7:基礎(chǔ)設(shè)施安全領(lǐng)域12:身份、授權(quán)和訪問管理\hCSA云控制矩陣v4.0AIS應(yīng)用程序和接口安全AISAIS-02:應(yīng)用程序安全基線需求AIS-04:應(yīng)用程序安全設(shè)計(jì)和安全開發(fā)IAM身份與訪問管理IAMIAM-01:身份與訪問管理的策略與規(guī)程IAM-03:身份清單BCRBCRBCR-05:文檔記錄

數(shù)據(jù)安全與隱私生命周期管理DSPDSP-03:數(shù)據(jù)清單DSPDSP-08:設(shè)計(jì)和默認(rèn)數(shù)據(jù)保護(hù)GRC治理、風(fēng)險(xiǎn)管理和合規(guī)GRCGRC-01:治理計(jì)劃的策略和規(guī)程GRC-02:風(fēng)險(xiǎn)管理計(jì)劃IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-01IVS-06Stride威脅分析引用鏈接1.2022CloudSecurityThreatsreport身份欺騙\hhttps://www.wiz.io/ty/2022-cloud-security-threats-report2.UnsecuredElasticsearchserverbreachedineighthoursflat篡改數(shù)據(jù)\h/news/252484365/Unsecured-\hElasticSearch-server-breached-in-eight-hours-flat抵賴3.Howmuchdoesadatabreachcost?\h/security/data-breach信息泄露4.Acloudmisconfigurationexposed23Mrecordsofover60Kuserscontainingemails,usernames,socialnetworkID,andplayerdataon拒絕服務(wù)thewe\h/daily-swig/online-gaming-platform-vip-\hgames-exposes-23-million-data-records-on-misconfigured-server權(quán)限提升5.Elasticsearchstoring5.6Mcustomerrecordswasexposedontheweb\h/blog/hotforsecurity/etsy-owned-\hmusical-instrument-marketplace-reverb-suffers-data-breach6.UKnewspaperTheTelegraphexposed10TBdatabasewithsubscriberdata\hhttps://securityaffairs.co/wordpress/123020/data-breach/the-\htelegraph-data-leak.html7.UnauthenticatedAWSserverexposed3TBinairportemployeerecords\h/article/unsecured-aws-server-exposed-\hairport-employee-records-3tb-in-data/8.AmazonstepsintocloseexposedFlexBookerbucketafterDecemberdatabreach\h/article/amazon-steps-in-to-close-exposed-\hflexbooker-bucket-after-december-data-breach/PAGEPAGE36無服務(wù)器和容器化工作負(fù)載的配置不當(dāng)和利用威脅9:軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)無服務(wù)器和容器化工作負(fù)載的配置不當(dāng)和利用威脅9:軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型元數(shù)據(jù)基礎(chǔ)設(shè)施應(yīng)用程序信息架構(gòu)客戶共同安全責(zé)任CSPCSPCSP”NetskopeIAM4%AWSAdministratorAWSLambdaAWSPAGEPAGE37業(yè)務(wù)影響關(guān)鍵信息以下是一些關(guān)鍵信息：（CSPM）（CIEM）（CWPP）案例最近的一些案例包括：截至DoW（DoS）DoSDoWDoWDoS[2](2021)CVE-2022-0811（CRI-O）[3]CVE-2022-0185（Linux[5]AzurescapeAzure(20222月)CadoAWSLambdaDenoniaDenonia。DenoniaMoneroLambdaDNSoverLambda[6]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域1:云計(jì)算概念和架構(gòu)領(lǐng)域2:治理與企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域4:合規(guī)和審計(jì)管理領(lǐng)域5:信息治理領(lǐng)域6:管理平面和業(yè)務(wù)連續(xù)性7:8:領(lǐng)域9:事件響應(yīng)領(lǐng)域10:應(yīng)用安全領(lǐng)域11:數(shù)據(jù)安全和加密領(lǐng)域12:身份、授權(quán)和訪問管理\hCSA云控制矩陣v4.0A&A審計(jì)與保障A&AA&A-02A&A-03A&A-04A&A-05A&A-06

密碼學(xué)、加密與密鑰管理CEKCEK-03:數(shù)據(jù)加密CEKCEK-05:加密變更管理AIS應(yīng)用程序和接口安全AISAIS-02:應(yīng)用程序安全基線需求AIS-03:應(yīng)用程序安全指標(biāo)AIS-04AIS-05AIS-06BCR業(yè)務(wù)連續(xù)性管理和運(yùn)營韌性BCRBCR-02:風(fēng)險(xiǎn)評(píng)估和影響分析BCR-03:業(yè)務(wù)連續(xù)性策略CCC變更控制和配置管理CCCCCC-02CCC-04CCC-09LOG日志記錄和監(jiān)控LOGLOG-03:安全監(jiān)控與告警LOG-05:審計(jì)日志監(jiān)控與響應(yīng)LOG-12:訪問控制日志SEFSEFSEF-03事件響應(yīng)計(jì)劃SEF-04事件響應(yīng)測試SEF-06事態(tài)鑒別分類流程

數(shù)據(jù)安全與隱私生命周期管理DSPDSP-07:設(shè)計(jì)和默認(rèn)數(shù)據(jù)保護(hù)DSP-08:設(shè)計(jì)和默認(rèn)數(shù)據(jù)隱私DSP-17:敏感數(shù)據(jù)保護(hù)DSPIAM身份與訪問管理IAMIAM-03:身份清單IAM-05:最小權(quán)限IAM-09:特權(quán)訪問角色的隔離IAM-10:特權(quán)訪問角色的管理IAM-14:強(qiáng)鑒別IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VSIVS-02:容量與資源規(guī)劃IVS-03:網(wǎng)絡(luò)層安全I(xiàn)VS-04:操作系統(tǒng)加固與基線控制IVS-05:生產(chǎn)與非生產(chǎn)環(huán)境IVS-07:遷移到云環(huán)境TVM威脅與漏洞管理TVMTVM-07漏洞識(shí)別TVM-08漏洞優(yōu)先級(jí)TVM-09漏洞管理報(bào)告Stride威脅分析 引用鏈接身份欺騙A-real-world-look-at-aws-best-practices-iam-policies\h\h-iam-policies\h\hS221421262100079X\h\hbilityLinux-kernel-container-escape-in-kubernetes\h\hn-kubernetesAzureEscape\h\hFirst-malware-targeting-aws-lambda\h/2022/04/first-malware-targeting-\haws-lambda.html 39篡改數(shù)據(jù)抵賴信息泄露拒絕服務(wù)權(quán)限提升PAGEPAGE40威脅10:有組織的犯罪、黑客和APT攻擊軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任[1]“”威脅10:有組織的犯罪、黑客和APT攻擊軟件即服務(wù)(SaaS)平臺(tái)即服務(wù)(PaaS)基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)模型基礎(chǔ)設(shè)施信息元數(shù)據(jù)應(yīng)用程序架構(gòu)客戶共同安全責(zé)任APTAPT組織APTAPTTTPAPT。業(yè)務(wù)影響APT），而另APT關(guān)鍵信息以下是一些關(guān)鍵信息：PAGEPAGE42APTTTP。PTT案例最近的案例包括：(20221月21)LAPSUS$[4]\hCSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0領(lǐng)域9:事件響應(yīng)領(lǐng)域13:安全即服務(wù)\hCSA云控制矩陣v4.0TVM應(yīng)用程序和接口安全TVMTVM-01TVM-02TVM-04:檢測更新TVM-05:外部庫漏洞TVM-06:滲透測試TVM-07:漏洞識(shí)別TVM-08:漏洞優(yōu)先級(jí)TVM-09: